统一服务热线:(023) 65928280

通告及预警

当前位置: 首页 >> 网络安全 >> 通告及预警 >> 正文

关于用友NC BeanShell存在远程代码执行漏洞的安全公告

时间:2021-06-05来源:点击:

2021年4月12日,国家信息安全漏洞共享平台(CNVD)收录了用友NC BeanShell远程代码执行漏洞(CNVD-2021-30167)。攻击者利用该漏洞,可在未授权的情况下远程执行代码。目前,漏洞利用细节已公开,用友公司已发布版本补丁完成修复,建议用户尽快更新至最新版本。

一、漏洞情况分析

用友NC采用J2EE架构,面向大型企业集团和成长中的集团企业的信息化需求,为集团企业提供建模、开发、集成、运行、管理一体化的信息化解决方案。

2021年6月2日,用友公司发布了关于用友NC BeanShell远程代码执行漏洞的风险通告。由于用友NC对外开放了BeanShell的测试接口,未经身份验证的攻击者利用该测试接口,通过向目标服务器发送恶意构造的Http请求,在目标系统上直接执行任意代码,从而获得目标服务器权限。

CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响的产品版本包括:

用友NC 6.5

三、漏洞处置建议

目前,用友公司已发布补丁完成漏洞修复,并通过服务渠道推送解决方案,授权用户可以通过访问链接进行下载。该漏洞对部署于公共互联网上的用友NC 6.5系统构成一定的安全风险,CNVD建议产品用户立即通过官方网站安装最新补丁,及时消除漏洞隐患:

http://umc.yonyou.com/ump/querypatchdetailedmng?PK=18981c7af483007db179a236016f594d37c01f22aa5f5d19



上一条:关于Microsoft MSHTML存在远程代码执行漏洞的安全公告 下一条:关于VMware vCenter Server存在远程代码执行漏洞的安全公告

关闭

地址:重庆电子科技职业大学南校区
教学楼二栋负一楼
统一服务热线:(023)65928265
版权所有?2019- 重庆电子科技职业大学 · 图文信息中心